16 840
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
16 840
/ContentUploads/A712/wordpress.jpg
Kattints ide  ➜

Biztonságos WordPress ‑ 4. rész

Droppa Béla2015.03.15. 11.08
Mivel Magyarországon a magánszemélyek után egyre több cég kezd vállalati blogba, illetve a céges weboldalak is folyamatosan népszerűbbé válnak, szükségesnek éreztük bemutatni az egyik legnépszerűbb webes motorban, a WordPressben rejlő sérülékenységeket. Cikksorozatunk nyolc héten át nyolc epizódból fog állni, majd egy összegző cikkben summázni fogjuk a felismeréseket, így megkönnyítve a biztonság előremozdítását.

Sorozatunk eddig megjelent részei:
Biztonságos WordPress – 1. rész
Biztonságos WordPress – 2. rész
Biztonságos WordPress – 3. rész
Biztonságos WordPress – 4. rész
Biztonságos WordPress – 5. rész
Biztonságos WordPress – 6. rész
Biztonságos WordPress – 7. rész


Komplex biztonsági kulcsok alkalmazása



A WordPress egy sor hosszú, véletlenszerű és összetett biztonsági kulccsal él, amik a tárolt információk és a felhasználói sütik akkurátus titkosításáról gondoskodnak. Ezekből összesen nyolc létezik, amik a következők: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY, AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT és utoljára, de nem utolsó sorban a NONCE_SALT.

A fent felsorolt biztonsági kulcsok egy nagyon erős jelszóhoz vagy jelmondathoz hasonlíthatóak: jó esetben rendkívüli mértékben megnehezítik a feltöréshez szükséges lehetőségek előteremtését. A biztonsági kulcsokat általában kriptográfiai sókkal is megbolondítják. Az elsőre furcsának tűnő szó egy mindennapos problémára nyújt megoldást: a legtöbb felhasználó egyszerű jelszavakat választ, amelyeket a primitív brute force, vagyis végigpróbálgatásos technológiával gyorsan fel lehet törni.

Nos, erre találták ki a sókat, ugyanis ezek egy véletlenszerűen generált kódot implementálnak a jelszóba anélkül, hogy a felhasználó mást írna be a beviteli mezőbe, ennek köszönhetően a brute force metódussal már nagyon hosszú lenne megtalálni a kódot. Példának okáért vegyük a password1 szót, ugyanis még mindig vannak olyanok, akik ezt használják jelszóként. Ha az előre tárolt hash érték Hash(salt|password), akkor a jelszavunk egy pillanat alatt például a 6$dK3;password1 kóddá változhat, ami azért jóval bonyolultabb.

A WordPressben némiképp máshogy néznek ki ezek a kódok, létrehozhatjuk őket mi magunk is, de a motor saját rendszerét is használhatjuk a kódok generálásához. Mi egyébként utóbbit ajánljuk, ugyanis egyesével, véletlenszerűen nagyon nehéz bepötyögni egy karaktersort, valamilyen mintát biztosan követnénk, amivel viszont már a behatolók dolgát könnyítenénk meg. A frissen létrehozott kódokkal már csak egy dolgunk van: be kell őket táplálni a wp-config.php fájlba.
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)
Sokat fejlődik az új frissítéssel a Google Duo
LEAGOO M8 ‑ Elindult az egyik legolcsóbb okostelefon előrendelési időszaka
Elindult a Google Mikulás weboldala
Melyik lesz 2017 legjobb okostelefonja?
Amazon Go ‑ Csak kisétálsz a boltból, fizetés nélkül
A Casio bemutatott egy 1,9 megapixeles kamerát
Felkapott témák
Az egyik legnépszerűbb antivírus egyben a legrosszabb is
Ezek a jelenleg kapható legerősebb okostelefonok
2016 legjobb okostelefonjai - Sebességteszt
Android 1.0 Apple Pie vs. Android 7.1 Nougat
Melyik lesz 2017 legjobb okostelefonja?
Ingyenes nCore regisztráció - Újabb csalók próbálkoznak
Állásajánlatok
Termékfejlesztő mérnök
Supplier Quality Engineer
Építőipari szaktanácsadó
Online Product Support Engineer
Szoftvertesztelő
Linux rendszergazda / rendszermérnök
Application Management Support Specialist Telekom IT TSI Budapest